Známá omezení v řízení podmíněného přístupu k aplikacím
Tento článek popisuje známá omezení pro práci s řízením podmíněného přístupu aplikací v Microsoft Defender for Cloud Apps.
Další informace o bezpečnostních omezeních získáte od našeho týmu podpory.
Maximální velikost souboru pro zásady relací
Zásady relací můžete použít u souborů, které mají maximální velikost 50 MB. Tato maximální velikost souboru je například relevantní, když definujete zásady pro monitorování stahování souborů z OneDrivu, blokování aktualizací souborů nebo blokování stahování nebo nahrávání malwarových souborů.
V takových případech nezapomeňte pomocí nastavení tenanta určit, jestli je soubor povolený nebo blokovaný, a to bez ohledu na odpovídající zásady, nezapomeňte zahrnout soubory větší než 50 MB.
V Microsoft Defender XDR vyberte Nastavení> Řízení >podmíněného přístupu k aplikacímVýchozí chování, abyste mohli spravovat nastavení souborů větších než 50 MB.
Maximální velikost souboru pro zásady relací na základě kontroly obsahu
Pokud použijete zásady relace k blokování nahrávání nebo stahování souborů na základě kontroly obsahu, kontrola se provede pouze u souborů, které jsou menší než 30 MB a mají méně než 1 milion znaků.
Můžete například definovat jednu z následujících zásad relace:
- Blokovat nahrávání souborů obsahujících čísla sociálního pojištění
- Ochrana stahování souborů, které obsahují chráněné informace o stavu
- Blokovat stahování souborů, které mají popisek citlivosti "velmi citlivé".
V takových případech se neprohledávají soubory, které jsou větší než 30 MB nebo mají více než 1 milion znaků. S těmito soubory se zachází podle nastavení zásad Vždy použít vybranou akci, i když se data nedají kontrolovat .
V následující tabulce jsou uvedeny další příklady souborů, které jsou a nejsou kontrolovány:
| Popis souboru | Skenovaný |
|---|---|
| Soubor TXT, velikost 1 MB a 1 milion znaků | Ano |
| Soubor TXT o velikosti 2 MB a 2 miliony znaků | Ne |
| Soubor Word složený z obrázků a textu, velikosti 4 MB a 400 tisíc znaků | Ano |
| Soubor Word složený z obrázků a textu, velikosti 4 MB a 2 miliony znaků | Ne |
| Soubor Word složený z obrázků a textu, velikosti 40 MB a 400 tisíc znaků | Ne |
Soubory šifrované pomocí popisků citlivosti
U tenantů, kteří umožňují spoluvytváření souborů šifrovaných popisky citlivosti, budou zásady relace pro blokování nahrávání a stahování souborů, které se spoléhají na filtry popisků nebo obsah souborů, fungovat na základě nastavení zásady Vždy použít vybranou akci i v případě, že data nejde zkontrolovat .
Předpokládejme například, že zásady relace jsou nakonfigurované tak, aby zabránily stahování souborů obsahujících čísla platebních karet, a jsou nastavené na Vždy použít vybranou akci, i když data nelze zkontrolovat. Stahování všech souborů se šifrovaným popiskem citlivosti je blokováno bez ohledu na jeho obsah.
Externí uživatelé B2B v Teams
Zásady relací nechrání uživatele spolupráce mezi externími firmami (B2B) v aplikacích Microsoft Teams.
Omezení pro relace, které reverzní proxy server obsluhuje
Následující omezení platí jenom pro relace, které reverzní proxy server obsluhuje. Uživatelé prohlížeče Microsoft Edge můžou místo použití reverzního proxy serveru využívat výhod ochrany v prohlížeči, takže tato omezení na ně nemají vliv.
Omezení modulů plug-in integrovaných aplikací a prohlížečů
Řízení podmíněného přístupu k aplikacím v Defender for Cloud Apps upravuje kód podkladové aplikace. V současné době nepodporuje integrované aplikace ani rozšíření prohlížeče.
Jako správce můžete chtít definovat výchozí chování systému pro dobu, kdy se zásady nedají vynutit. Můžete buď povolit přístup, nebo ho úplně zablokovat.
Omezení ztráty kontextu
V následujících aplikacích jsme narazili na scénáře, kdy procházení odkazu může vést ke ztrátě úplné cesty odkazu. Obvykle se uživatel dostane na domovskou stránku aplikace.
- ArcGIS
- GitHub
- Microsoft Power Automate
- Microsoft Power Apps
- Pracoviště z meta
- ServiceNow
- Pracovní den
- Krabice
Omezení nahrávání souborů
Pokud použijete zásady relace k blokování nebo monitorování nahrávání citlivých souborů, pokusy uživatele o nahrání souborů nebo složek pomocí operace přetažení zablokují úplný seznam souborů a složek v následujících scénářích:
- Složka, která obsahuje alespoň jeden soubor a alespoň jednu podsložku
- Složka, která obsahuje více podsložek
- Výběr alespoň jednoho souboru a nejméně jedné složky
- Výběr více složek
Následující tabulka uvádí příklady výsledků při definování zásady Blokovat nahrávání souborů, které obsahují osobní údaje na OneDrive :
| Scénář | Result (Výsledek) |
|---|---|
| Uživatel se pokusí nahrát výběr 200 nesmyslných souborů pomocí operace přetažení. | Soubory jsou blokované. |
| Uživatel se pokusí nahrát výběr 200 souborů pomocí dialogového okna pro nahrání souboru. Některé jsou citlivé a jiné ne. | Nahrají se nesmyslné soubory. Citlivé soubory jsou blokované. |
| Uživatel se pokusí nahrát výběr 200 souborů pomocí operace přetažení. Některé jsou citlivé a jiné ne. | Úplná sada souborů je zablokovaná. |
Omezení pro relace, které se obsluhují s ochranou v prohlížeči Edge
Následující omezení platí jenom pro relace, které se obsluhují s ochranou prohlížeče Edge.
Když uživatel přepne na Edge kliknutím na Pokračovat v Edgi, ztratí se přímý odkaz.
Uživatel, který spustí relaci v jiném prohlížeči než Edge, se zobrazí výzva k přepnutí na Edge kliknutím na tlačítko Pokračovat v Edgi.
Pokud adresa URL odkazuje na prostředek v rámci zabezpečené aplikace, bude uživatel přesměrován na domovskou stránku aplikace v Edgi.
Když uživatel přepne na pracovní profil Edge, ztratí se přímý odkaz.
Uživatel, který zahájí relaci v Edgi s jiným profilem, než je jeho pracovní profil, se zobrazí výzva k přepnutí na pracovní profil kliknutím na tlačítko Přepnout na pracovní profil.
Pokud adresa URL odkazuje na prostředek v rámci zabezpečené aplikace, bude uživatel přesměrován na domovskou stránku aplikace v Edgi.